Держспецзв'язку попереджає про розсилання шкідливих електронних листів нібито від імені «Укртелекому»

Що сталося. Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) зафіксувала масове розповсюдження шкідливих електронних листів начебто від імені АТ «Укртелеком».

Джерело. Про це повідомляє пресслужба Держспецзв’язку.

Деталі. Згідно з повідомленням, метою такого розсилання, спрямованого переважно на органи державної влади, ймовірно, є шпигунство.

Листи з темою «Судова претензія за Вашим особовим рахунком # 7192206443063763 от: 06.02.2023» і додатком у вигляді RAR-архіву «судовий лист, інформація щодо заборгування.rar» містять текстовий документ «Ваш персональний код доступу -254507.txt» та ще один RAR-архів «судовий лист, інформація щодо заборгування. pdf.rar», захищений паролем. У другому архіві розміщений файл «судовий лист, інформація щодо заборгування.pdf.exe», розміром понад 600 МБ.

Запуск цього EXE-файлу призведе до встановлення на комп'ютері жертви програми для віддаленого контролю та спостереження Remcos. Ця програма від компанії BreakingSecurity є легітимним інструментом віддаленого адміністрування. 

Виявлена активність відстежується за ідентифікатором UAC-0050 щонайменше від 2020 року. Попередні кібератаки згаданої групи здійснювалися із застосуванням програми для віддаленого адміністрування RemoteUtilities.

Фахівці CERT-UA, з огляду на функціонал програм і те, що об'єктами кібератак зазвичай (але не винятково) є органи державної влади України, вважають, що така активність здійснюється з метою шпигунства.

Бекграунд. Раніше CERT-UA попереджала про кібератаку на українські медіа.